LGPD e Cibersegurança

Olá! Seja bem-vindo à minissérie A Jornada da Privacidade.

Esse conteúdo foi idealizado e produzido junto com o time da HSBS Soluções em Tecnologia, uma empresa do grupo Nagem.

O objetivo dessa minissérie de seis episódios é explorar, trazer dicas práticas e valiosas que vão lhe ajudar a avaliar como anda a sua jornada para a adequação à Lei Geral de Proteção de Dados, além de responder as principais duvidas sobre o tema no âmbito jurídico e tecnológico.

No site do Papo Cloud, você vai encontrar a transcrição completa de cada episódio, proporcionando mais facilidade e comodidade para você, ouvinte da minissérie A Jornada da Privacidade. É exatamente isso. Você poderá ouvir, ler e reler quantas vezes quiser.

Além da transcrição, disponibilizamos um guia prático para você conhecer mais sobre a LGPD. O download do guia prático pode ser feito através do link que está na descrição desse episódio, no seu agregador de podcast favorito ou lá no site do Papo Cloud.

Eu sou Vinicius Perrott e neste episódio eu bato um papo com Wandercy Fonseca, Especialista em Segurança da Informação.

Junte-se a nós nessa Jornada da Privacidade.

Vinicius Perrott: Olá Wandercy, tudo bom?

Wandercy Fonseca: Tudo bem.

Vinicius Perrott: Seja bem-vindo à nossa minissérie A Jornada da Privacidade.

Wandercy Fonseca: Obrigado pelo convite.

Vinicius Perrott: Show. Mestre, antes de começar o nosso bate-papo, queria que você pudesse se apresentar para o ouvinte e conhecer um pouquinho do Wandercy, qual é o seu papel aqui na HSBS.

Wandercy: Bem, eu sou Vandeci Fonseca, sou consultor de segurança da informação e LGPD, da Lei Geral de Proteção de Dados. Atuo já há mais de quinze anos na área de segurança da informação e projetos. E estou aqui junto com a equipe da HSBS para ajudar as empresas a entrar em compliance com a LGPD.

Perrott: Maravilha, mestre. Mestre, para a gente começar aqui nosso tema do nosso bate-papo, queria que você pudesse explicar um pouquinho para a gente sobre a segurança da informação no conceito dos princípios da LGPD que falam da confidencialidade, integridade e disponibilidade. O que isso está conectado?

Wandercy: Bem, antes de falar sobre segurança de informação e seus princípios, é interessante a gente entender um pouco sobre a diferença entre um dado e a informação, certo? O dado sozinho não significa relativamente nada. Se eu colocar um número aqui, por exemplo, colocar um dado… Ricardo. Estou chutando um nome aqui qualquer. Você vai dizer: “Ricardo o quê? De onde?” Você vai perguntar um sobrenome, vai perguntar onde ele trabalha. Ou seja, aquele dado sozinho não significa nada. E a informação é quando a gente tem esse dado somado com algo que ele gera realmente uma informação. Por exemplo, eu chegar para você e dizer: Vandeci Fonseca da HSBS. Aí eu estou te dando uma informação. Então é interessante a gente, antes de entender um princípio, a gente entender essa diferença. Mas vamos para os princípios. Quando a gente fala de confidencialidade, confidencialidade é exatamente só aquela pessoa que tem direito a acessar aquela informação como seria um exemplo? O Vandeci Fonseca que trabalha na HSBS, que trabalha na parte de segurança da informação Eu tenho uma pasta no servidor. Por que eu vou acessar a pasta comercial? Eu não tenho por que acessar a pasta comercial. Então essa questão da confidencialidade da pasta tem que estar limitada às minhas ações e realmente à minha posição dentro da empresa, realmente o meu dia a dia de utilização dela. Em relação à parte de integridade, que é outro princípio, eu tenho que ter certeza de que as informações de que ali estão não foram alteradas ou adulteradas. Por exemplo, eu coloquei uma informação dentro da minha pasta e, de repente, eu cheguei no outro dia, vi lá que tem uma informação. Essa informação foi alterada. Algum dado lá dentro, alguma informação a mais foi alterada. Então o que acontece? Ela não está íntegra. Então isso aí a gente tem que se preocupar com essas informações. E a questão da disponibilidade. A disponibilidade é que as minhas informações que ali estão dentro daquele servidor tem que estar disponíveis para mim a qualquer momento. Ou seja, onde eu estiver e a qualquer momento que eu precise, realmente elas têm que estar acessíveis, que eu possa trabalhar de uma forma tranquila com elas na hora que eu precisar.

Perrott: Nesse conceito, então, que você está apresentando, o dado representa, por si só, nada?

Wandercy: Exatamente.

Perrott: Mas, nesse contexto que ele foi inserido, posso dizer, então, que o mesmo dado, a depender do contexto, tem características diferentes?

Wandercy: Sim. A gente pode colocar… por exemplo, se eu te der um número, colocar um numeral 100, você pode olhar: “Esse 100 significa o quê? São R$100? Número de uma casa? É um número de identificação?” Mas se eu botar miligrama, você vai saber que eu estou falando talvez de um remédio, alguma coisa. Então, quando você complementa, você vai ter uma descrição e de repente você sabe para que é aquela… aquele dado gera uma informação que o conjunto de informações gera, inclusive, a sabedoria.

Perrott: Mestre, outro contexto que é importante entender é que, a partir do momento que esse dado e esse conjunto de informações… hoje está circulando em praticamente qualquer tipo de dispositivo. Tanto as empresas quanto os usuários comuns, eu e você, e você também, ouvinte, tem um notebook, tem um ou dois celulares, tem um tablet, tem outros dispositivos. Mas como eu consigo garantir que aquela informação, aquele conjunto de dados que circula naqueles dispositivos estão aderentes a LGPD? Ou, no caso, os dispositivos estão em ambiente seguro e aderente a LGPD?

Wandercy: É necessário que, primeiramente, a gente coloque uma senha em nossos equipamentos, tanto em notebooks como os smartphones, etc. Mas o mais importante ainda é que tenhamos as unidades salvas lá dentro da unidade, o volume dentro do seu notebook, possamos utilizar softwares de criptografia. Existem alguns softwares que… por exemplo, eu vou dar um exemplo prático. Quando você está andando com o seu notebook, de repente seu notebook hoje foi furtado, com alguns sistemas rapidamente a gente consegue… ou através até de um CD mesmo, de um Ubuntu uma distribuição dessa do Linux, a gente consegue dar um boot pelo CD e capturar essas tuas informações de uma forma muito fácil. Então como é que eu poderia evitar isso? Existem alguns softwares de mercado, tanto gratuitos quanto pagos, que você pode fazer uma criptografia a nível de volume, certo? E aí caso essa pessoa que furtou seus dados tente capturar essas informações, ela não vai conseguir. Ela pode até conseguir capturar, mas ela vai pegar essas criptografadas. E algumas soluções que a gente pode dar como dica, do próprio Windows existe o BitLocker. Você tendo o Windows, ele original, você tem o BitLocker que você pode instalar esse volume, colocar uma senha. E aí, automaticamente, você está protegido caso haja um problema desse e também está em compliance com a LGTD. Alguns outros que também o pessoal trabalha tanto com Windows quanto com outros sistemas operacionais. Você tem o Veracript, Toolcript que também é outra solução. Então você consegue ter uma gestão desse volume e também estar em compliance ao mesmo tempo com a LGPD.

Perrott: Nesse caso, a gente já falou sobre o dado, que ele gera um contexto, esse contexto gera uma informação e essa transferência, o caso, a gente disponibilizar em vários dispositivos. Mas, no caso, voltando a um passo anterior, saber o que coletar também é importante para esse processo de adequação a LGPD?

Wandercy: Sim, com certeza. É interessante que saibamos primeiramente o que coletar e como proteger também essa coleta. Bem, a coleta de dados que a gente precisa ver, tem que ver se bate com a finalidade da empresa. Se você tem lá a informação hoje… vou dar um exemplo prático. Se você vai em uma empresa e de repente essa empresa tem lá um preenchimento de cadastro profissional, pergunta qual é o… se você gosta de um partido político x ou y, se você tem alguma associação sindical, qual é o seu tipo sanguíneo. Então são perguntas que, inclusive, caem na parte de dados sensíveis, onde não se pode trabalhar sem ter uma base legal. Claro, se você vai fazer um tratamento médico, você precisa saber sobre dados sensíveis. Se você participar de alguma religião que, de repente, não pode fazer uma doação sanguínea, então você precisa deixar isso muito claro lá, se pode ou não, mas também você tem que saber como fazer essa pergunta e como recebê-la. Por exemplo, você não vai perguntar a religião da pessoa, mas, sim, você vai perguntar se ela pode doar sangue ou não. Então você tem que mudar baseado nas bases legais e também no consentimento das pessoas para saber e ter essas informações coletadas.

Perrott: Uma dúvida, mestre, que você citou em relação à criptografia de disco. Só para deixar claro, então, para o nosso ouvinte. A partir do momento que eu tenho uma criptografia do meu disco ou dos meus dispositivos, então eu estou adequado a LGPD, não preciso fazer mais nada?

Wandercy: Não. A criptografia é um dos artigos da lei uma das regras que a gente pode dizer da lei, mas existem várias outras. Inclusive, eu posso até te falar sobre a do backup. Mais importante do que você ter a criptografia do seu arquivo é você ter o backup. Imagina se você tem lá… seus arquivos foram perdidos. Beleza, você sabe que aquela pessoa furtou o seu computador, levou as suas informações, não consegue mais quebrar aquela criptografia. Mas e você? Você tem a cópia daquelas informações, aquelas informações tanto pessoais como institucionais? Então o princípio maior, inclusive, eu posso dizer, da segurança da informação é você ter uma boa rotina de backup, uma boa política de backup interna. Inclusive, falando sobre backup, é importante falar que o backup não é só aquela cópia de arquivos, e sim também os testes constantes. Você também ter uma periodicidade de fazer essas informações e restaurar aquele backup para ver se ele está funcionando bem, para não ter algum problema, de repente você está guardando arquivos corrompidos. Então tem que ter essa regra. É interessante a gente ver mesmo num cenário externo, a gente que trabalha com consultoria, muito problema relacionado a backup. E, dentro da norma da ISO 1001, é interessante que você tenha no mínimo três soluções de backup. Entre elas, soluções também de backup externo, uma solução de repente de um backup em nuvem, de uma forma criptografada, para que, se Deus o livre, acontecer algum problema internamente dentro da sua instituição, você poder resgatar esse backup das nuvens e não comprometer a continuidade do seu negócio.

Perrott: Então não somente backup em nuvem, on premise, mas essas três opções que você citou. Na verdade, essas três recomendações que a ISO acaba colocando na sua regra, mas todo esse backup tem que ser criptografado no armazenamento?

Wandercy: Sim, é interessante que seja. Inclusive, complementando a situação de backup, é interessante, acho que todo mundo conhece aquela solução das Torres Gêmeas, onde existia um banco. E, na torre ao lado, existia o backup desse banco, ou seja, aquele banco simplesmente faliu porque não tinha aquela solução e os dados em mãos. Ninguém também contava com o desastre daquele porte, mas hoje, inclusive, por causa daquele fato, a regra hoje para a solução de backups, solução de Disaster Recovery é que os data centers estejam, inclusive, a pelo menos 100 quilômetros de distância, certo? E, voltando um pouco a falar sobre a questão de backup, é interessante que você tenha pelo menos dois internos, certo, e backup é algo que nunca faz mal você ter muitos. Eu aconselho, inclusive, você ter dois internos, um externo e de preferência também vá salvando backups mensais e até backups anuais. Então você ter aquelas informações em mãos, porque é a continuidade do seu negócio. Imagina hoje você ter um problema dentro da sua instituição, você consegue comprar equipamentos novos, consegue levar os seus computadores para a nuvem, mas se você não tiver as informações que hoje é o bem mais precioso da sua instituição, você não consegue ter um sucesso dentro da sua instituição.

Perrott: E, nesse quesito de adequação, a LGPD, junto com armazenamento e backup, eu posso ter, então uma estratégia de colocar um backup em nuvem, colocar um backup on premise, mas você citou um ponto que eu achei superinteressante que é fazer o teste do backup. Como é que você tem visto isso nas empresas? As empresas estão testando os seus backups ou esporadicamente só quando precisam?

Wandercy: Sendo bem realista, é muito complicada essa situação. A gente vê que, no dia a dia, o suporte de TI das instituições terminam apagando incêndio e não se preocupando com a parte de gestão. E essa parte de política de backup é algo que cabe dentro da governança de TI e uma boa gestão de TI também. E aí como geralmente a equipe de TI é muito pequena para às vezes dar suporte a grandes instituições e ter um operacional muito trabalhoso, então ela termina esquecendo ou deixando aquela rotina de resgate de backup, restaurar os backups e termina não fazendo. Isso eu posso dizer que mais de 90% das empresas hoje não fazem essa tarefa de casa. E termina comprometendo o dia a dia e a segurança de informação da empresa.

Perrott: Então de nada adianta eu me preocupar em me adequar a LGPD, fazer o meu backup e esquecer de conferir?

Wandercy: Pois é. Acontece muito. E, infelizmente, a gente que trabalha com a parte de segurança da informação, já vi muitos empresários chorarem na minha frente por causa de questão de perda de informação, alguns perdendo uma vida de… um caso de um cliente de escritório de contabilidade uma vez chegou ara a gente, o cara chorou simplesmente porque não tinha aquelas informações, tinha perdido uma vida de empresa. E outras, inclusive, têm às vezes até como recuperar, mas cobra um valor muito caro para fazer de repente e salvar de novo essas informações e resgatar essas informações através de HD.

Perrott: Nesse caso, eu tenho um armazenamento em nuvem, é uma alternativa segura, fora o meu ambiente local?

Wandercy: Bem, em relação ao armazenamento em nuvem, é seguro, sim. Colocando uma criptografia segura nele. E a gente consegue praticamente hoje com poder computacional inquebrável. Então podemos fazer essas soluções, essas redundâncias de backup em nuvem, inclusive em mais de uma instituição, se a pessoa quiser e ter necessidade. E, como eu falei, caso haja um problema de alguém de repente pegar suas informações, ela ai estar criptografada e não vai ter como quebrar hoje com os poderes computacionais existentes no mercado.

Perrott: Maravilha. Mestre, um ponto também interessante que eu acho legal para a gente tratar aqui no nosso episódio, é você falar da… que você já citou bastante, sobre a cybersegurança e a LGPD. Muitas das empresas implantam soluções de segurança para evitar um vírus ou um possível ataque. Isso é um motivador. Mas também existe motivador de se adequar à própria lei. A cybersegurança também está muito além de simplesmente de evitar um vírus, mas sim atender ao que a lei manda?

Wandercy: Hoje o que a gente vê nas leis… está muito confuso, inclusive, para muitas empresas. Eu vejo algumas empresas se preocuparem com a LGPD só a partir da lei, como também já vi muitas empresas se preocuparem só com a parte de cybersegurança. Isso é bom frisar. E a LGPD vai muito mais além. Vai tanto da parte tecnológica, da parte de segurança de informação quanto a parte também da lei, é necessário um jurídico, como também é necessário a parte de processos. Dentro da instituição ter alguém que conheça bem da parte de processos internos para que possa tocar e fazer da melhor maneira possível. Então é necessário ter essa equipe dentro de compliance junto com DPO. E, respondendo a sua pergunta, sobre a questão da cybersegurança, sim, porque hoje a gente vive numa briga constante entre o atacante e o atacada. O cyberatacante e, do outro lado, a empresa que tenta se proteger ao máximo. O que a gente repassa para os nossos clientes?O seguinte, se você for hoje… se a gente fizer um paralelo com o dia a dia normal das instituições, a gente vai ver que se você tem uma casa que não investe numa grade, não investe em muro, não investe em um cachorro, nem que seja um cachorro para latir, alguma coisa desse tipo, e do outro lado o vizinho tem uma grade, tem sistema de CSTV, tem sensor, tem grades, tem cadeado, tem tudo, com certeza esse ladrão vai atacar a casa que está mais vulnerável. Então a ideia da cybersegurança é isso, é a gente investir para que possamos proteger o máximo a nossa casa ou a nossa empresa desses ataques, porque o que a gente mais hoje vê são essas vulnerabilidades mais simples, inclusive. Tem empresas hoje que utilizam ainda hoje softwares piradas, ou seja, você fica vulnerável, você não pode atualizar paths, utilizam antivírus que não são conhecidos ou às vezes também pirateiam antivírus. Então esses princípios básicos… ou não tem uma rotina de backup como a gente conversou. Então esses princípios básicos da segurança da informação não são feitos e aí comprometem a sua instituição e principalmente vazamento de dados e a LGPD.

Perrott: Maravilha, mestre. A gente está chegando ao finalzinho do nosso bate-papo, mas antes a gente tem uma palavra que eu gostaria que você pudesse definir o episódio sobre a LGPD e cybersegurança. Que palavra seria essa?

Wandercy: Backup. Eu acho que se for para a gente agregar em uma palavra mesmo importante é backup, porque ela cabe dentro das duas. Você não tem como ter segurança dentro da empresa, um funcionamento da empresa sem um backup. Se você perder essas informações, você acaba com a sua empresa. E, automaticamente, é uma lei, está dentro da LGPD como uma obrigação.

Perrott: Show de boa. Mestre, nossa última pergunta que eu sempre faço aos nossos convidados, mas que nunca busca o cunho de certo nem errado, é só vivência, só experiência de mundo. Então vamos lá. Para Vandeci Fonseca, o que é computação em nuvem?

Wandercy: Bem, computação em nuvem hoje é o que temos de mais prático, mais fácil acesso, dinâmico. A gente tem hoje a oportunidade de onde estiver estar com aquelas informações nas mãos. Não precisamos mais estar levando o nosso próprio computador para fazer aquelas atividades. Inclusive no próprio smartphone a gente consegue essas informações. E com a segurança, com uma segurança… dentro das seguranças, claro, dentro de uma boa configuração. Você tem um funcionamento bastante interessante. E, claro, com a disponibilidade de 99,999% de funcionamento. A gente pode ver que as grandes empresas trabalham com TIER IV, então elas têm praticamente 15 minutos no ano que elas podem ficar fora do funcionamento. Então praticamente as suas informações estão disponíveis no tempo que você quiser.

Perrott: Maravilha, mestre. Eu que agradeço a sua participação na nossa minissérie A Jornada da Privacidade. Até a próxima oportunidade.

Wandercy: Valeu. Eu que agradeço. Até a próxima oportunidade.

Perrott: O que achou do bate-papo? Tem alguma pergunta ou comentário? Mande lá no Instagram do time da HSBS Soluções. É @hsbssolucoes. Aproveite e faça o download do guia prático para você conhecer mais sobre a LGPD. O link você encontra na descrição desse episódio no seu agregador de podcast favorito ou no site do Papo Cloud.

Se você gostou desse episódio, compartilhe com os seus amigos nas suas redes sociais.

E aí?
Tá Na Nuvem?

Convido você a comentar lá no nosso grupo do Telegram: bit.ly/papocloudtelegram.

Podcast: Tocar em nova janela | Download

Subscribe: RSS

Tagueado como: A Jornada da Privacidade.